Articoli

Protezione dello smartphone dei bambini: l’intervista a Giancarlo Calzetta

,

Durante le serate informative sui pericoli della Rete, prima o poi la domanda sulla sicurezza arriva. Come posso controllare quello che fa mio figlio con lo smartphone? Quali strumenti di parental control suggerisci? Si possono prendere virus?

Ho deciso di girare queste domande a chi si occupa professionalmente di cybersecurity, un giornalista informatico (che lavora per Tom’s Hardware, anche nello spin-off Security.info, e Sole24Ore) tra i più noti e apprezzati in Italia: Giancarlo Calzetta.

Controllare lo smartphone dei bambini?

Lo smartphone è oggi il principale strumento con cui i ragazzi accedono a Internet, usato quotidianamente per andare online dal 97% dei ragazzi di 15-17 e dal 51% dei bambini di 9-10 (dati EuKids Online, vedi tabella sopra).

Molti genitori mi chiedono se esistono strumenti per evitare o limitare i danni. Secondo Calzetta sugli store online si trovano diverse applicazioni per il controllo degli smartphone. Sono app di “parental control”, controllo parentale, e sono davvero tantissime: Giancarlo cita le suite di Norton, Gdata e Kaspersky (qui alcuni consigli proprio di Kaspersky sulla questione smartphone e bambini).

Protezione smartphone dei bambini: non fare le cose di nascosto

Il suggerimento numero 1 di Giancarlo, però, è quello di non fare le cose di nascosto. Questo può costituire un problema non tanto tecnico, ma di relazione, di fiducia. Occorre invece spiegare al figlio perché è necessario proteggersi e come farlo. Non sempre i genitori sono competenti dal punto di vista tecnologico, ma le competenze che servono non sono tecniche. Bisogna fare i genitori: affiancare i ragazzi, senza sotterfugi.

Configurare uno smartphone per farlo usare ai bambini

Sul sito di Tom’s Hardware, dove scrive anche Giancarlo, si trova una esauriente guida su come impostare uno smartphone, nel caso specifico Android, per l’uso da parte dei ragazzi. Dopo aver creato un nuovo utente per il minore, si legge nel pezzo, occorre accedere a Google Play per assicurarsi che mostri solo contenuti adatti ai bambini. Nell’articolo, che si trova a questo link, è spiegato tutto passo a passo.

Quali sono i maggiori pericoli per i minori online?

Sempre secondo i dati EuKids Online, “cresce il numero di ragazzi e ragazze di 9-17 anni che hanno fatto qualche esperienza su Internet che li ha turbati o fatti sentire a disagio (13%). Cresce soprattutto fra i bambini di 9-10 anni, passando dal 3% registrato nel 2013 al 13% del 2017”. Fra i rischi continuano a crescere i contenuti inappropriati (soprattutto quelli legati all’ostilità e al razzismo), l’hate speech, l’esposizione a contenuti pornografici e il sexting, oltre ovviamente a cyberbullismo e dipendenza.

Nell’intervista Giancarlo punta i riflettori prevalentemente sulla questione privacy e sulle informazioni che i bambini e ragazzi pubblicano online. In particolare la loro esposizione sui social. “Occorre spiegare che cosa mettere su Instagram e che cosa no” sottolinea Calzetta. Ecco alcuni suoi suggerimenti:

– Impostare il profilo privato.

– Mai rispondere agli sconosciuti.

– Si aggiungono solo amici che si conoscono fisicamente.

– I ragazzi non devono postare proprie foto sui social.

In effetti è più un lavoro da genitori che da tecnico o smanettone.

Come tracciare l’uso che il ragazzo fa dello smartphone?

La maggior parte delle app di parental control prevede anche una funzionalità di tracciamento dell’attività con lo smartphone del ragazzo. Molto utile per permettergli di rendersi conto di quanto e come usa lo strumento. Del resto spesso i minori, e non solo loro, perdono la cognizione del tempo, davanti a uno schermo. Esistono però anche app specifiche per fare questo, e Giancarlo suggerisce di provare Screentime.

Questione sicurezza: si possono prendere i virus sullo smartphone?

Ultima domanda: serve installare un antivirus sullo smartphone del figlio? La risposta è: assolutamente sì. Sebbene gli antivirus per PC e Mac siano potenti, installare una suite di sicurezza sul telefonico (anche su iPhone!) può certamente aiutare a evitare alcuni problemi. Non basta “stare attenti” quando si naviga, questo il monito di Giancarlo.

Ascolta qui l’intervista a Giancarlo Calzetta

Tutte le interviste del mio podcast “Genitorialità e tecnologia” possono essere ascoltate gratuitamente su Spreaker o direttamente su questo sito. Basta un clic su Play qui sotto. Buon ascolto.

Ascolta “#19 Protezione dello smartphone dei bambini: l’intervista a Giancarlo Calzetta” su Spreaker.

/0 Commenti/da

Sicurezza informatica: che cosa sono i ransomware?

ransomware

Cresce l’allarme per il ransomware”: qualche giorno fa l’Ansa intitolava così un articolo abbastanza allarmistico. È vero che per “vendere” (o attirare l’attenzione, o i clic) bisogna metterla sulla paura, ma il problema esiste davvero, ed è serio.

Facciamo un passo indietro. Di che cosa stiamo parlando? I ransomware sono programmi che cifrano file e richiedono un pagamento in denaro per decifrarli (ransom=riscatto). Nati in Russia, ma ormai diffusi in tutto il mondo, tipicamente si diffondono come trojan, dei malware worm che penetrano nel sistema attraverso, per esempio, un file scaricato o una vulnerabilità nel servizio di rete per eseguire un payload, che cripterà i file personali sull’hard disk.

 

Il caso Reventon

Reventon

Un caso storico, che ho raccontato nell’eBook “Stop al panico!”, è quello di Reventon, detto anche “trojan della polizia”. Questa truffa, sventata nel febbraio del 2013, consisteva nello spaventare gli utenti con finti messaggi (anche vocali) della Polizia, o dell’FBI, dove si diceva che il computer era stato bloccato a causa di operazioni illegali.

In Spagna la Polizia aveva raccolto numerose denunce da parte di vittime che avevano subito la truffa e spesso pagato per riscattare il dispositivo. La banda internazionale aveva installato in Spagna anche una succursale che si occupava della monetizzazione della truffa tramite pagamenti paysafecard e smart voucher Ukash. Dopo aver scambiato i voucher in denaro reale, questi individui inviavano gli introiti alla sede principale dell’organizzazione in Russia. La polizia stima che il singolo gruppo di criminali abbia portato avanti una attività di riciclaggio da oltre un milione di euro in un solo anno.

Come è stata debellata la truffa? Attività di ricerca delle minacce svolte in tempo reale e su ampia scala hanno reso possibile la mappatura dei processi e dell’infrastruttura di rete, identificando il reindirizzamento del traffico criminale e i server di comando e controllo.

 

Come prevenire?

Esistono dei sistemi per prevenire problemi del genere? Quando si parla di infezioni su larga scala, la prevenzione più efficace, dicono gli esperti, parte sempre dalla “awareness” dell’utente: un utente consapevole e attento ai problemi di sicurezza, infatti, è l’ultimo livello di protezione (a volte il più importante) in una infrastruttura di sicurezza; questo vale anche per i ransomware che, nati per attaccare i dati dell’utente, rappresentano ora un pericolo concreto anche per i dati aziendali.

Massimo Turchetto

Massimo Turchetto, CEO & Founder di SGBox

Abbiamo chiesto a Massimo Turchetto, CEO & Founder di SGBox, di darci delle dritte: “Il caso peggiore a cui ci si potrebbe trovare davanti è quello in cui i diversi livelli di protezione non sono stati in grado di bloccare il vettore di infezione, solitamente e-mail o connessione a siti Web esterni, e in cui l’utente abbia involontariamente dato inizio all’infezione”. Quindi che fare? “Il comportamento del ransomware può essere riconoscibile mediante l’analisi dei log provenienti sia dal computer che sta subendo l’attacco, sia dal server le cui share sono connesse a esso. Ogni cifratura corrisponde alla scrittura di un file e non esistono pause tra una cifratura e la successiva, in quanto le modifiche ai file provengono sempre dallo stesso utente. Nel momento in cui il virus cifra, i log riveleranno un numero insolitamente alto di write su file per un singolo utente. In questo caso l’infezione è iniziata ed è possibile riconoscere il problema e intervenire”.

Tecnicamente parlando, per ottenere una configurazione adatta a riconoscere questo tipo di situazione è necessario attivare sui server le politiche di auditing su file e directory, abilitando in particolare il logging sugli eventi di scrittura e limitando l’audit alle directory con dati condivisi agli utenti.

Una volta ottenute le informazioni necessarie è possibile creare regole (o trigger) che avvisano del pericolo, per esempio fissando una soglia massima di eventi di scrittura per lo stesso utente in un dato intervallo di tempo. Prima di implementare questa strategia è necessario però studiare con attenzione i dati storici per evitare di incorrere in falsi positivi, stabilendo una soglia ragionevole di scritture per utente.

Conclude Turchetto: “Un’informazione importante che si può ottenere dall’analisi dei log consiste nel conoscere quanti accessi di modifica o creazione un singolo utente ha effettuato ad esempio in 60 secondi. Questa informazione ci aiuta ad individuare la workstation che sta effettuando l’attacco così da avere la possibilità di procedere con l’immediato shutdown. Questo ci permette però di individuare anche l’utente che ha dato inizio all’attacco e di risalire al suo indirizzo di posta elettronica. Mediante l’indirizzo è possibile verificare quali sono gli indirizzi esterni da cui ha ricevuto il possibile virus o, analizzando la sua navigazione, quali siti abbia visitato. Scoperte queste informazioni, infine, è possibile risalire a tutti gli altri utenti che abbiano ricevuto mail dagli stessi mittenti o abbiano visitato gli stessi siti e prevenire eventuali nuove infezioni”.

Le attività di analisi del comportamento di un singolo evento, quale la modifica di file, possono innescare contromisure e nuove analisi che, anche se non permettono di prevenire l’infezione perché si tratta di dati storici, seppure vecchi di un secondo, forniscono strumenti per contenerla e, probabilmente per limitare il danno che questo genere di malware può generare.

/0 Commenti/da

Quelli che pubblicano online la foto della carta di credito

In “Non mi piace – Il contromanuale di Facebook” scrivevo:

Rendere pubblici dettagli della vita privata legati a famiglia, amici, questioni legali, fede, sesso, salute, finanza, lavoro o altro è sconveniente, nonché pericoloso. Il problema è che il 40% degli utenti lo fa, a volte in modo assolutamente ingenuo (eufemismo per: stupido). Le cronache narrano di utenti che pubblicano la foto della propria carta di credito, l’indirizzo di casa, il nome da ragazza della madre (solitamente usato nelle domande segrete di sicurezza) il numero di cellulare, luogo e data di nascita (che permettono di risalire al codice fiscale) o peggio (vedi fenomeno del sexting).

Quando faccio le presentazioni del libro cito, come esempio, la storia di quella ragazzina che, contenta per la nuova carta di credito, la fotografa e la posta su Facebook, con dati sensibili in bella vista.
Non è un caso isolato, anzi: l’account Twitter @NeedADebitCard (scoperto grazie a Zeus News) raccoglie tutti i tweet di questi squilibrati.

C’è qualche genio che fotografa parte anteriore e posteriore, per non farsi mancare nulla. Vien voglia di usare la loro carta per acquistare qualche idiozia inutile su, per dirne uno, http://shutupandtakemymoney.com.

/0 Commenti/da

Fogpad: file blindati su Google Drive

Il servizio Fogpad permette di caricare sul tuo spazio Drive dei documenti a prova di intruso.

Ormai la nuvola spaventa sempre meno: tra Dropbox, OneDrive, Box e altri servizi on-line, stiamo trasferendo sempre più dati nel cloud. Anche se, a dire il vero, qualcuno ha ancora parecchie remore: i file non sono più sul mio PC, chi vi accede? Come li proteggo? La risposta è Fogpad: un servizio Freemium che consente di crittografare, proteggendo con password, i documenti da caricare su Drive, il tuo spazio in cloud offerto da Google.

Il funzionamento 

Fogpad è un servizio che permette di blindare i tuoi documenti, crittandoli con una password. In pratica, come detto, è la risposta a chi ha paura di lasciare documenti “delicati” sulla nuvola. Collegati al sito Web www.fogpad.net.

Per utilizzare il servizio occorre iscriversi. Si può usare il proprio profilo Google, anzi il profilo sul social network G+. Accetta le condizioni a procedi. Nella schermata successiva metti il segno di spunta accanto a “I have read and agreed to the Terms of Use and Privacy Policy”. Fai clic su “Sign up”.

Il servizio, come detto, è Freemium: gratis per cinque documenti, oltre occorre pagare. Per crittare il primo documento, fai clic su “Upload”, in alto a destra.

Dopo aver scelto quale documento caricare, grazie a una finestra di esplorazione delle risorse del PC, occorre inserire una password, due volte per sicurezza. Poi fai clic su “Encrypt + upload”: in tal modo si fanno due cose in un colpo solo, crittazione e caricamento.

Al termine della doppia operazione, il documento crittato appare nell’elenco al centro della pagina. E compenso, in alto, il conteggio dei file caricabili è sceso di uno: ora sono quattro. Da questo pannello puoi anche cancellare il file.

Ecco, invece, come si carica un documento che non esiste: come lo si crea da qui. Fai clic su “Create document”, comando che si trova accanto a quello di upload visto al passo 3.

Questa volta la password va scelta prima di creare il documento: del resto non si possono caricare file “in chiaro”, quindi nemmeno crearli da zero.

Quello di Fogpad è un editor testuale a tutti gli effetti, che non ha da invidiare ad altri servizi analoghi on-line: si può scrivere, formattare, inserire contenuti multimediali o tabelle e anche incollare testo da Word, preservandone la formattazione.

Per assegnare il nome al file, cosa determinante per ritrovarlo poi facilmente nell’elenco, basta fare clic sull’intestazione in alto. Quella che, inizialmente, riporta la dicitura inglese “Senza titolo”.

Con un clic su “Back”, in alto a sinistra, si torna all’elenco dei documenti. Ora sono due, e ne puoi caricare o creare altri tre.

Potresti gestire i file solo da qui: ma, come detto inizialmente, il servizio su appoggia su Drive. Quindi i file devono essere sulla nuvola di Google. Per accedervi, apri uno qualsiasi dei servizi di Big G, per esempio Gmail, e scegli di spostarti su Drive.

Per ritrovare velocemente i file creati con Fogpad, basta usare il menu di sinistra, scegliendo di visualizzare i documenti recenti. Troverai i tuoi file crittati in cima alla lista.

Che cosa succede se provi ad aprire uno dei file blindati? Ovviamente l’anteprima non è disponibile, perché il file è crittato. Bisogna comunque passare da Fogpad, per aprirli.

 

Quanto costa Fogpad

Detto che Fogpad è gratis per l’uso con cinque documenti, quanto costa? Per fare l’upgrade del proprio account, inizialmente definito “demo”, basta collegarsi all’indirizzo www.fogpad.net/pricing e scegliere un profilo. Il pagamento può avvenire solo con carta di credito.

 

La crittazione

Ogni document caricato in Fogpad o creato con l’editor viene crittato con algoritmo AES a 256 bit. Per intenderci: è l’algoritmo usato anche per blindare i dati bancari o le informazioni sulla tua carta di credito inserita in Amazon.

 

I dati restano tuoi

Quando carichi i file su Fogpad, restano tuoi? La risposta è contenuta nei termini d’uso del servizio, sezione “User data” (www.fogpad.net/terms). Ed è sì: “You retain all of your ownership rights, including copyrights and other intellectual property rights in and to your user content”. Chiaramente Fogpad non vuole materiale illegale sui suoi server.

/0 Commenti/da

Come ritrovare l’iPhone perso

trova

La parola smartphone vuol dire “telefono intelligente”. I cellulari di ultima generazione sono talmente intelligenti che sanno anche dirci dove si trovano: cosa molto utile se l’abbiamo smarrito. Questo grazie all’app “Trova il mio iPhone”, disponibile gratuitamente su Apple Store in questa pagina (https://itunes.apple.com/it/app/trova-il-mio-iphone/id376101648?mt=8).

 

Ritrovare e bloccare il dispositivo smarrito

Dopo aver installato e avviato l’app, dobbiamo inserire le nostre credenziali di iTunes, ovvero indirizzo email e password che usiamo per acquistare e scaricare le app. Se abbiamo già registrato dei dispositivi su iCloud, questi vengono riconosciuti ed elencati: selezionandoli, questi vendono localizzati su una mappa. Possiamo anche farli suonare grazie al pulsante “Emetti suono”, oppure possiamo impostarne la “Modalità smarrito”, ricollocato nella versione 2.0.1: impostiamo un codice che, di fatto, blocca il dispositivo. Vi è anche la possibilità di far apparire un messaggio sul display dell’iPhone, dell’iPad o dell’iPod Touch persi: utile per dare le indicazioni su dove e come riconsegnarli.

 

Controllo da Web

Che fare se invece perdiamo il dispositivo dov’è installata l’app? Basta collegarsi alla propria pagina di iCloud, e precisamente qui (www.icloud.com/find), e accedere alle opzioni di “Trova il mio iPhone” per gestire il gioiellino a distanza. Vi è, tra le altre, la possibilità di cancellare i propri dati.

/0 Commenti/da

Lo smartphone ricorda tutte le nostre password

1password
Le password sono l’unico strumento di protezione dei nostri dati, che siano on-line o salvati su computer, smartphone o tablet: il problema è ricordarle tutte, visto che è assolutamente sconsigliato, nonché folle, usare sempre la stessa per tutti i servizi. Per aiutarci possiamo utilizzare un’app studiata proprio per non doverle memorizzare tutte: 1Password. Questa applicazione, che è anche un software per PC e Mac, è disponibile sia per iOS (https://agilebits.com/onepassword/ios) al costo di 6,99 euro, che per Android (https://agilebits.com/onepassword/android) a costo zero. In quest’ultimo caso si tratta solo di un visualizzatore delle password salvate con il computer: per questo occorre aver acquistato e installato le versioni per PC o Mac, che possono essere provate gratuitamente per un mese.

La versione per iOS, utilizzabile anche senza la controparte su computer, è installabile su iPhone, iPad e iPod Touch. Basta acquistarla su un dispositivo: l’uso, poi, è consentito su tutti i nostri prodotti iOS. Permette di salvare le nostre parole d’ordine in modo estremamente sicuro, visto che sono utilizzati sistemi di crittazione in uso anche nel mondo militare. La app colleziona automaticamente le nostre password, i PIN, i dati di login e le informazioni sulla carta di credito, se vogliamo. Per maggiore sicurezza, la navigazione avviene tramite un browser interno. È consentita la sincronizzazione via Drobox e iCloud.

/0 Commenti/da

Le peggiori password del 2013

password

Sulle pagine di Computer Idea abbiamo sottolineato più e più volte quanto sia importante scegliere una password sicura, sufficientemente lunga e complessa, ricca di numeri e caratteri speciali. Sicuramente non banale. Eppure ci sono tantissimi utenti che continuano a usare password scontatissime, come il proprio nome, la data di nascita o, peggio, parole diffusissime.
Spinback, azienda che si occupa di sicurezza, ha stilato la classifica delle 30 peggiori parele d’ordine dell’anno appena concluso. Ecco le prime 10:

1. 123456

2. 123456789

3. password

4. Nomi dei propri animali

5. 12345678

6. qwerty

7. 1234567

8. 111111

9. Luogo di nascita

10. 123123 .

Davvero poca fantasia. Per l’elenco completo potete consultare il blog di Spinback: http://blog.spinbackup.com.

/0 Commenti/da

Caccia ai virus

Per prevenire e combattere virus, worm e Cavalli di Troia, munitevi di un buon antivirus e seguite alcune fondamentali regole di prevenzione.

detected

A dispetto del nome che a volte portano (il romantico “I love you” o l’acchiappa-teenager “Kournikova”), i virus informatici sono a tutti gli effetti l’incubo informatico del nuovo millennio, spauracchio di chiunque abbia un collegamento alla Rete. Ma, in fin dei conti, cos’è un virus? Partiamo dal nome, da questa strana metafora di origine biologica. Quando vent’anni fa l’americano Fred Cohen scrisse, per la sua tesi di dottorato per un’università californiana, il primo codice di un virus, le sue intenzioni erano tutt’altro che criminose. Il suo scopo era quello di creare un programma che si replicasse autonomamente (come un “Blob”…) e che acquisisse i privilegi di sistema posseduti da altre applicazioni. In pratica, “che infettasse altri programmi e sistemi” (parola di Cohen). Da qui il nome, visto che, come accade in campo biologico, i virus necessitano di un “organismo” che li ospiti e che gli fornisca le strutture necessarie per riprodursi: purtroppo, a volte, proprio il nostro PC.

Questo epiteto evoca (giustamente) epidemie e altre nefaste conseguenze, sfruttando la vulnerabilità dei sistemi informatici e, soprattutto, la sempre crescente interconnessione dei computer grazie a Internet.

 

Tutti i malware vengono per nuocere

Un virus può creare danni irreparabili: distruggere dati, mettere fuori uso computer, comunicare informazioni riservate a terze persone, utilizzare macchine per scopi criminali (per esempio l’attacco a un sito Internet) e via dicendo. Con il termine “virus”, però, si indica tutta una classe di programmi nocivi, anche molto diversi tra loro. Vediamo di fare un po’ di chiarezza, e di scoprire contro cosa dobbiamo combattere.

Un termine generico che ingloba tutti questi parassiti informatici è malware, parola inglese creata dalla contrazione di “malicious” e “software” (ovvero “programma nocivo”) . Il malware è, quindi, un programma creato e distribuito con scopi dannosi, che può assumere diverse forme: virus, trojan, worm, ma anche di dialer (di quest’altro flagello, però, non ci occupiamo in queste pagine). Nel nostro caso prenderemo in considerazione i virus propriamente detti, i trojan e i worm.

Un virus è un piccolo programma che si insinua in un computer per svolgere qualche azione specifica, prevalentemente distruttiva. Ma come funzionano, praticamente? Per prima cosa il file “attaccato” è analizzato, viene letta l’intestazione dell’eseguibile (che contiene le informazioni fondamentali sul file) quindi il virus determina quanto spazio deve avere a disposizione per potersi inserire nel file, e crea questo “pertugio” nel quale si insinua. Il file è quindi modificato, così come la sua intestazione: è qui che si trova la firma del nuovo parassita. A questo punto il file modificato è salvato su disco e il virus continua a vivere nel suo nuovo habitat fin quando non viene rimosso, o cancellato totalmente il documento infetto. L’infezione di altri file avviene nel momento in cui il file eseguibile è avviato.

I trojan, o Cavalli di Troia, non sono propriamente virus, ma programmi che si nascondono generalmente all’interno di altri file (per esempio gli archivi compressi), per evitare di essere scoperti dagli antivirus. Il loro scopo è quello di comportarsi da porte aperte nei sistemi, mettendo il computer a disposizione di un hacker. Questo è possibile perché il trojan si compone di due programmi diversi: un client e un server. Il primo è residente sulla macchina del malintenzionato, il secondo si installa su quella della vittima e si avvia, in automatico, all’accensione del PC. In tal modo, quando si è on-line, chi controlla il server può disporre delle risorse del computer a proprio piacere: cancellare file, crearne di nuovi, scoprire le vostre password, monitorare le vostre azioni e ciò che scrivete sulla tastiera, resettare il sistema o, addirittura, renderlo inutilizzabile.

La terza categoria che prendiamo in considerazione è quella dei worm (verme), un particolare tipo di malware che, una volta installatosi nel PC ospite, è in grado di replicarsi e diffondersi ad altri computer ad esso collegati (in rete locale o via Internet). Il sistema più comune di diffusione dei worm è tramite messaggi di posta elettronica inviati via Internet. Purtroppo, negli ultimi mesi, si è assistito a una recrudescenza di questo fenomeno: chiunque ha potuta saggiare il fenomeno, vedendosi arrivare in e-mail virus di ogni tipo. Dal finto update di Microsoft (il virus Gibe) all’ormai celebre MyDoom, gli attacchi da parte di worm si stanno susseguendo con sempre rinnovato vigore.

 

Il vaccino si chiama Antivirus

 Un antivirus, al giorno d’oggi, è assolutamente indispensabile. Molti rivenditori di PC li installano direttamente sui computer in vendita, ma a volte questo non accade. In tal caso, non azzardatevi a collegarvi a Internet: sarebbe come andare in motorino senza casco.

Un buon antivirus è un programma che, oltre a rinascere ed eliminare i virus noti, dev’essere in grado di far fronte a sempre nuove emergenze. Prima di tutto deve essere in grado di aggiornare costantemente (in gergo, update) le specifiche dei nuovi virus, chiamate “firme”. Ma soprattutto, quando questo non è possibile, deve prevedere dei meccanismi di riconoscimento di possibili nuovi virus, anche se solo con sistemi probabilistici (metodo definito “euristico”): in pratica deve riconoscere un codice potenzialmente nocivo.

Un antivirus non li limita solo a controllare tutti i file (di sistema o non) presenti sul computer, ma controlla anche l’integrità del settore di boot del PC e dei file di sistema, direttamente all’avvio della macchina. Deve inoltre controllare, in tempo reale, la memoria del computer, il Registro di configurazioni, il file system e, in generale, i processi in esecuzione. Deve essere in grado di scandire, a fondo, qualsiasi tipo di file: per esempio anche quelli compressi. Inoltre, cosa importantissima, deve controllare ogni e-mail (in particolare gli allegati) in entrata e in uscita. Deve saper trovare i virus che si annidano nelle macro di alcuni applicativi. Altra cosa fondamentale: deve creare un disco di emergenza, col quale far partire la macchina in caso di infezione. Nel caso trovi dei file infetti che non riesce a pulire, deve prevedere una procedura di messa in quarantena, in attesa di aggiornamenti che permettano di salvarlo.

Generalmente un antivirus ingloba un motore di scansione che rovista all’interno di tutti i file: li disassembla e, in tempo reale, vi ricerca all’interno la presenza di determinate sequenze di byte (le firme virali) che identificano i virus. Come detto, l’aggiornamento del database di queste firme risulta fondamentale.

 

Rimuovere i virus con AVG

Esistono decine di ottimi antivirus, che compiono tutte le operazioni sopra specificate: i più conosciuti sono certamente Norton Antivirus e McAfee VirusScan. In queste pagine, invece, vi proponiamo l’alternativa gratuita (in inglese) AVG (www.grisoft.com). Nella sezione Passo a passo di questo numero, a pagina IV, trovate una pratica guida all’utilizzo del programma.

Quando AVG trova un virus durante una scansione, lo segnala e prosegue per la sua strada. Solo alla fine dell’operazione (quando tutte le risorse sono state controllate) otterrete un report completo che comprende il numero di file controllati e, soprattutto, di quelli infetti. Segnatevi i nomi di questi parassiti e fate un giro sul sito www.grisoft.com, dove si trova un motore di ricerca (“Virus Encyclopaedia”) per scoprire come rimuovere l’infezione. Nella maggior parte dei casi AVG provvede da sé, in automatico: nella pagina “Test finished” troverete il numero di virus cancellati (“Virus removed by healing”). Se invece l’antivirus lancia il messaggio “Infected, embedded object”, questo significa che il virus è stato trovato, ma il file non può essere cancellato automaticamente. Spesso si tratta di file compressi, che dovrete cancellare manualmente. Se nell’archivio sono contenuti più file, potete decomprimerli in una nuova cartella e procedere a una nuova scansione, individuando i file infetti; in tal modo non perderete tutti i documenti.

La questione è un po’ più complicata se ad essere infettata è un’area di sistema. In questo caso, occorre utilizzare il disco di emergenza (che viene creato durante l’installazione del programma): riavviate il PC con il dischetto inserito nel lettore floppy. Il computer partirà in modalità DOS: dal prompt scrivete “Avg.exe” e premete Invio. Quando si avvia la schermata di AVG, selezionate il comando “Test and restore”.

 

Il decalogo per difendersi dalle infezioni

Prevenire le infezioni, è ormai una necessità imprescindibile: per questo esistono software appositi, detti antivirus. Ma a volte, questi, non sono sufficienti, e occorre mettere in atto sistemi di prevenzione che richiedono un impegno quotidiano, e soprattutto l’aderire a regole di condotta abbastanza semplici. Di seguito riportiamo dieci consigli per evitare di contrarre virus informatici. Sono alcuni tra i più importanti, non tutti. Fatene buon uso.

 

1 – La prevenzione è nulla, senza il controllo

Partendo dal presupposto che sul vostro sistema sia installato un buon antivirus, lanciate periodicamente una scansione del sistema. Alcuni virus potrebbero nascondersi in cartelle di sistema o, anche, nella cartella dei file temporanei del vostro browser.

Per lanciare la scansione di AVG, fate clic sul pulsante “Run complete test”. Una volta individuato un virus, un antivirus generalmente lo elimina, ripulendo il file infetto. Se questo non è possibile, il file viene messo in quarantena. A questo punto occorre stabilire se il file è indispensabile (per esempio un file di sistema) oppure no. Nel secondo caso, il documento può essere eliminato, risolvendo il problema alla radice. Se il file è indispensabile, invece, l’unica alternativa è quella di attendere un aggiornamento dell’antivirus in grado di sradicare l’infezione. Il file in quarantena, nel frattempo, non può essere utilizzato.

2 – Aggiornamento costante

Per far sì che l’antivirus sia affidabile, è necessario che sia costantemente aggiornato, che riceva periodicamente (quotidianamente, o anche più volte al giorno) le nuove definizioni dei virus più recenti, il nuovo elenco di firme virali. Alcuni laboratori impiegano poche ore, o anche meno, per mettere a punto una “cura” per i nuovi virus rilevati.

Collegatevi quindi alla Rete e fate partite l’update del vostro software antivirus: in AVG basta premere il pulsante “Virus Database”. Se si desidera ricevere aggiornamenti costanti e automatici, è sufficiente andare nel menu Service/Schedule and Update (o premere la combinazione di tasti CTRL+F9): nella finestra che appare, personalizzate i parametri presenti (se necessario, anche nelle impostazioni avanzate).

3 – Java non ti giova!

State attenti, durante la navigazione, agli ActiveX e alle Applet Java. Queste funzioni permettono l’esecuzione automatica di programmi che potrebbero essere dannosi. Un esempio concreto di questo tipo di virus era “Java.BeanHive”, un piccolo virus composto da 40 righe di codice che, dopo aver infettato una macro (tramite la Java Machine), si connetteva a un server Web, avviava la parte più consistente del virus, contagiando tutti i programmi Java. In pratica: i file venivano infettati con una piccola porzione del virus, la cui parte principale rimaneva on-line. Un sistema davvero subdolo, e molto efficace.

È possibile disattivare completamente la visualizzazione delle applet Java, onde evitare definitivamente problemi di questo tipo: se utilizzate Internet Explorer, andate in Strumenti/Opzioni e togliete il segno di spunta accanto alla voce “Compilatore Java JIT attivato”.

4 – Non aprite quell’allegato!

Non aprire mai un allegato ricevuto in e-mail prima di averlo passato al setaccio con l’antivirus, anche se proviene da mittenti conosciuti. Di seguito riportiamo le più comuni estensioni dei virus che si diffondono grazie alla posta elettronica.

 

Estensione Descrizione dell’estensione Esempi di virus che utilizzano l’estensione
.PIF Program Information File. File utilizzato in ambiente Windows per contenere informazioni riguardanti la modalità di esecuzione di un programma in ambiente MS-DOS. Sobig (vedi Passo a passo del numero 95) Mydoom (vedi Passo a passo del numero 106)

Netsky (vedi Passo a passo del numero 109)

Beagle
.SCR L’estensione dei file che contengono gli screensaver (salvaschermo). Mydoom (vedi Passo a passo del numero 106)

Bugbear (vedi Passo a passo del numero 71)

Mylife
.TXT File di testo creati, per esempio, con Blocco Note di Windows. Loveletter, Love-Letter-For-You (nuova variante del celeberrimo “I love you”)

Magistr
.HTM, .HTML HyperText Markup Language. Sono le estensioni che individuano le pagine Web. Sobig (vedi Passo a passo del numero 95)

Klez (vedi Passo a passo del numero 64)
.BAT Batch (automazione). Questi file permettono di sostituire delle operazioni manuali con elenchi preordinati di comandi. Mydoom (vedi Passo a passo del numero 106)

Novarg
.COM Command (comando). È un file MS-DOS (eseguibile) che contiene un insieme di istruzioni. Netsky (vedi Passo a passo del numero 109)
.EXE EXEcutable (eseguibile). Estensione di file nata con MS-DOS, che identifica i file di programma che possono essere mandati in esecuzione. Mydoom (vedi Passo a passo del numero 106)

Beagle

Yenik

SoberC

Blagle
.VBX Visual Basic eXtension. È l’estensione che identifica i moduli di servizio del Visual Basic di Microsoft. Netsky (vedi Passo a passo del numero 109)
.OCX Acronimo di “OLE Custom Controls”. È l’estensione per i file che identificano i controlli ActiveX sviluppati da Microsoft. Netsky (vedi Passo a passo del numero 109)
.VBS Script di Visual Basic di Microsoft. Questa estensione è aggiunta a quella del file infetto. Loveletter
.CMD File che contiene dei comandi per Windows NT. Mydoom (vedi Passo a passo del numero 106)

Novarg

Swen

5 – Il trucco delle doppie estensioni

Fate molta attenzione al trucco delle doppie estensioni (per esempio utilizzato dai virus “Anna Kurnikova” e BugBear). Un file allegato con estensione apparentemente innocua, potrebbe nasconderne un’altra (per esempio “.txt.vbs”). In alcuni casi questo trucco può prendere in castagna l’antivirus. Recentemente questo subdolo sistema è stato utilizzato dal worm Netsky.

Oltre al doveroso consiglio di non aprire file sospetti, un altro sistema per prevenire l’infezione è quello di obbligare Windows a visualizzare tutte le estensioni dei file, anche quelli associati alle più comuni applicazioni (che di solito nasconde). Aprite Esplora Risorse e andate in Strumenti/Opzioni cartella e togliete il segno di spunta dalla frase “Nascondi le estensioni per i tipi di file conosciuti”.

In ogni caso, l’antivirus AVG è in grado di riconoscere le doppie estensioni.

6 – L’infezione in… anteprima

A volte concentrarsi sugli allegati non è sufficiente: alcuni virus, particolarmente subdoli, utilizzano una tecnica raffinata, inserendo nel testo della e-mail un rimando a un sito Internet che avvia, in automatico, il virus. Quindi, anche solo visualizzando il contenuto del messaggio, si può essere infettati. Questo sistema è detto “Popup Object Exploit”, e sfrutta le falle di sicurezza di alcuni programmi di posta elettronica, come Outlook Express. Se utilizzate questo programma di posta, è necessario inibire la preview (la visualizzazione dell’anteprima) del messaggio. Andate in Visualizza/Layout e togliete il segno di spunta accanto alla voce “Visualizza riquadro di anteprima”.

7 – Tappate le falle di Microsoft!

Spesso i virus cercano di sfruttare le falle di sicurezza dei programmi (sistemi operativi o altri applicativi) installati sul vostro computer. Le case produttrici di software ne sono consce e cercano di correre ai ripari, una volta trovato un “baco”, nel più breve tempo possibile. Microsoft, per esempio, fornisce costantemente aggiornamenti per i propri prodotti. Per scaricarli è sufficiente andare in Start/Tutti i programmi/Windows update. Oppure potete collegarvi direttamente al sito Microsoft, all’indirizzo www.windowsupdate.com.

8 – Controllare la posta senza scaricarla

Se, nonostante i precedenti consigli, ritenete che scaricare la posta sul vostro computer non sia sicuro, esiste un metodo a prova di qualsiasi infezione. Controllare la posta elettronica senza scaricarla, direttamente sul server oppure tramite una Web-mail. Nel primo caso, occorre dotarsi di programmi appositi, che permettano di visualizzare le e-mail senza scaricarle sul proprio PC. Uno di questi è, per esempio, MailWasher: potete scaricarlo gratuitamente all’indirizzo Internet www.mailwasher.net. Il Passo a passo sul suo funzionamento è stato pubblicato sul numero 101.

9 – I virus nelle macro

Spesso i virus si annidano in file che, all’apparenza, dovrebbero essere innocui. Per esempio i file di Word ed Excel. In alcuni casi, infatti, questi documenti non contengono solo caratteri ASCII (testo o numeri o altri segni tipografici) ma anche delle macro, vale a dire procedure automatizzate che permettono di salvare una serie di operazioni, poi richiamabili con un semplice comando (o un tasto). I virus che vi si annidano sono scritti anch’essi con il linguaggio di programmazione delle macro (in genere, il Visual Basic), si auto avviano all’apertura del documento, restano residenti in memoria (e sono salvati nel file “Normal.dot”) e infettano tutti i file dello stesso tipo.

Come ci si accorge di aver contratto un macro virus? In genere, si è impossibilitati a convertire il documento infetto in altri formati e non è possibile nemmeno utilizzare il comando “Salva con nome”.

Per aumentare il controllo sulle macro, aprite il programma Microsoft (per esempio Word, ma i comandi sono comuni a tutti gli altri applicativi del pacchetto Office) e andate in Strumenti/Macro/Protezione e mettete un segno di spunta accanto alla prima opzione: “Molto elevato”. In ogni caso l’antivirus AVG controlla tutte le macro dei documenti Office, in automatico.

10 – Le vie dei virus sono infinite

Quando ancora la Rete Internet non aveva raggiunto l’attuale diffusione, il miglior mezzo per beccarsi un virus era quello di diffondere un floppy disk infetto. Ora le cose sono radicalmente cambiate. Il pericolo può annidarsi ovunque, on-line, e bisogna sempre stare attenti a dove si naviga e, soprattutto, a cosa si scarica.

Quando visitate siti non sicuri, evitate di scaricare file. Eppure i virus che si trasmettono via Internet possono anche trovare un canale privilegiato nelle connessioni via instant messanger come ICQ, mIRC o simili. Evitate di acconsentire alla ricezione di file sospetti, e non solo di eseguibili; anche gli archivi compressi con estensione ZIP e RAR possono nascondere spiacevoli sorprese. Recentemente i laboratori di Kaspersky hanno diramato una nota in cui mettono in guardia sul pericolo di Bizex, un worm che si diffonde attraverso ICQ.

Anche la rete peer to peer non è immune dai contagi: è il caso, per esempio, del worm Benjamin, che nel 2002 colpì gli utilizzatori del software Kazaa.

 

MyDoom, cronaca di un attacco

 Il 2004 è iniziato all’insegna di MyDoom, un vero incubo per i sistemi informativi di mezzo mondo, sommersi da un’ondata di e-mail infette. Siamo andati a scoprire come si è potuta verificare una tale ondata virale e quale sia stata l’escalation delle infezioni.

In Italia, la notte dello scorso 26 gennaio nei laboratori di ricerca dei diversi produttori di antivirus si accese l’allarme rosso: un nuovo worm si stava diffondendo con sorprendente velocità in tutto il Web. Nel giro di pochi minuti si comprese l’elevata entità del possibile danno: il worm, già riconosciuto come MyDoom, si diffondeva tramite posta elettronica e tramite le reti peer-to-peer. La struttura del worm era abbastanza semplice. Si trattava di un file compresso (con estensione ZIP) di 22 Kilobyte, contenente tutte le informazioni necessarie al virus per installarsi nella macchina obiettivo e compiere il proprio duplice attacco: da un lato aprire una backdoor e dall’altro scaricare il proprio payload per portare un attacco DDoS. Per quanto riguarda la backdoor, si trattava dell’apertura di una porta TCP tra la 3127 e la 3198, tramite cui un malintenzionato avrebbe potrebbe utilizzare da remoto il computer infetto come proxy TCP, oppure per eseguire ulteriore codice maligno con privilegi da amministratore.

Il payload installato da MyDoom, invece, attendeva l’avvio della macchina in una data successiva a domenica primo febbraio, per poi cominciare a portare un attacco verso il sito internet di SCO (www.sco.com): un processo di richiesta simultanea della pagina venne ripetuta circa ogni secondo da tutti i computer infetti sparsi per il mondo.

L’entità del danno fu notevole. Dopo solo due giorni, a questo worm si affiancò una seconda variante, MyDoom.B, che prese di mira anche il sito Microsoft (www.microsoft.com). Mydoom ha infettato una e-mail su 10, un numero enorme rispetto all’altro spauracchio SoBig (che aveva raggiunto il picco di una e-mail su 17).

 

La cronologia degli eventi

Il 28 gennaio, in una nota resa pubblica sul proprio sito, F-Secure elevava MyDoom a peggior attacco virale nella storia dei virus, stimando che il 20-30% di tutto il traffico mondiale di posta elettronica fosse generato da questo worm. Sempre secondo la società di sicurezza finlandese, tre sono le motivazioni di questo successo:

  • Ingegneria sociale: Il worm mascherava le e-mail infette al fine di farle somigliare a messaggi d’errore del sistema, invitando gli utenti ad aprire gli allegati. Inoltre, molti degli allegati erano file ZIP, normalmente ritenuti meno pericolosi.
  • Fusi orari: Al contrario di molti predecessori, MyDoom ha iniziato la diffusione a metà giornata lavorativa degli Stati Uniti, infettando immediatamente molte grandi aziende.
  • Raccolta aggressiva di indirizzi e-mail: Oltre a inviare copie di se stesso agli indirizzi contenuti nelle mailing list infettate, MyDoom creava autonomamente indirizzi di posta e riusciva anche a bypassare i trucchi per il mascheramento anti-spam degli indirizzi.

Come si può ben immaginare, questo worm farà storia e, molti realizzatori di virus ne seguiranno l’esempio per attaccare siti Internet in un modo che, come si è visto, risulta estremamente efficace. Per comprendere le modalità di attacco e la rapida diffusione, riportiamo di seguito la cronologia di quanto accaduto.

 

Lunedì 26 Gennaio 2004
Era quasi mezzanotte in Italia ma, negli Stati Uniti, tutte le aziende erano aperte e al lavoro quando MyDoom si affacciò in Rete. Questi elementi ne consentirono una rapidissima diffusione, fin dalle prime ore. Le aziende di sicurezza, in meno di un’ora, identificarono il worm e cominciarono a segnalare le procedure per limitare l’infezione. Dopo poco tempo, vennero realizzate le prime firme per i software antivirus ma, nonostante questo, la grande diffusione era oramai iniziata.

 

Martedì 27 Gennaio 2004
A meno di ventiquattro ore dall’inizio della diffusione, MyDoom venne già considerato il più veloce attacco virale della storia, molto peggio dei worm dell’agosto 2003 (Sobig e Blaster). Il virus era pronto per portare un attacco massiccio al sito di SCO a partire dal primo febbraio: per questo motivo l’azienda offrì un premio di 250.000 dollari a chi sarebbe riuscito a individuarne l’autore.

 

Mercoledì 28 Gennaio 2004
Venne individuata la variante MyDoom.B, identica alla precedente ma che, oltre al sito di SCO, prendeva di mira anche quello di Microsoft. Il colosso di Redmond offrì anch’esso una taglia di 250.000 dollari.

 

Giovedì 29 Gennaio 2004
All’interno del sorgente di MyDoom fu trovata la firma “Andy” e un messaggio del presunto autore: “I’m just doing my job, nothing personal, sorry” (Sto solo facendo il mio lavoro, niente di personale, scusate). I computer infetti dal worm divennero, a loro volta, le piattaforme per portare attacchi altrove.

 

Domenica 1 Febbraio 2004
MyDoom raggiunse il suo scopo, paralizzando il sito Internet di SCO Group.

 

Martedì 3 Febbraio 2004
Nonostante i propositi del worm, il sito di Microsoft continuò a essere attivo on-line.

/0 Commenti/da

Piccolo Manuale di Sicurezza Informatica

Durante la puntata di Netc@fe (Telelombardia) del 15 gennaio 2012, ho presentato il “Piccolo Manuale di Sicurezza Informatica” di Riccardo Meggiato, Apogeo:

Compralo su Amazon:

/0 Commenti/da